Управление безопасностью: управление доступом и удостоверениями

Примечание

Актуальная оценка системы безопасности Azure доступна здесь.

Рекомендации по управлению доступом и удостоверениями в первую очередь ориентированы на проблемы по следующим аспектам: управление доступом на основе удостоверений, блокировка административного доступа, предупреждения о связанных с удостоверениями событиях, аномальное поведение учетной записи и управление доступом на основе ролей.

3.1. Инвентаризация учетных записей администраторов

Идентификатор Azure Идентификаторы CIS Обязательство
3.1 4.1 Customer

В AAD есть встроенные роли, которые должны назначаться явным образом и доступны для запросов. С пмощью модуля PowerShell для AAD вы можете выполнять произвольные запросы для обнаружения учетных записей, принадлежащих группам администраторов.

3.2. Изменение паролей по умолчанию, где применимо

Идентификатор Azure Идентификаторы CIS Обязательство
3.2 4.2 Customer

В Azure AD нет концепции паролей по умолчанию. Другие ресурсы Azure, использующие пароли, устанавливают собственные требования к минимальной длине и сложности создаваемого пароля, которые будут разными для каждой службы. Вы самостоятельно несете ответственность за сторонние приложения и службы Marketplace, которые могут использовать пароли по умолчанию.

3.3. Применение выделенных административных учетных записей

Идентификатор Azure Идентификаторы CIS Обязательство
3.3 4.3 Customer

Создайте стандартные операционные процедуры для использования выделенных административных учетных записей. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure, относящиеся к отслеживанию числа административных учетных записей.

Кроме того, с помощью привилегированных ролей Azure AD Privileged Identity Management можно применить технологии JIT/JEA для служб Майкрософт и Azure Resource Manager.

3.4. Использование единого входа с Azure Active Directory

Идентификатор Azure Идентификаторы CIS Обязательство
3.4 4.4. Customer

Во всех случаях, когда это возможно, используйте единый вход Azure Active Directory вместо отдельных учетных данных для каждой службы. Используйте рекомендации, приведенные в разделе «Управление доступом и разрешения» Центра безопасности Azure.

3.5. Использование многофакторной проверки подлинности для любого доступа на основе Azure Active Directory

Идентификатор Azure Идентификаторы CIS Обязательство
3.5 4.5, 11.5, 12.11, 16.3 Customer

Включите многофакторную проверку подлинности Azure AD и следуйте рекомендациям по управлению идентификацией и доступом в Центре безопасности Azure.

3.6. Использование выделенных компьютеров (рабочих станций с привилегированным доступом) для всех административных задач

Идентификатор Azure Идентификаторы CIS Обязательство
3,6 4.6, 11.6, 12.12 Customer

Используйте рабочие станции привилегированного доступа (PAW) с настроенной многофакторной проверкой подлинности для входа в ресурсы Azure и их настройки.

3.7. Ведение журнала и создание оповещений о подозрительных действиях из учетных записей администраторов

Идентификатор Azure Идентификаторы CIS Обязательство
3,7 4.8, 4.9 Customer

С помощью отчетов о безопасности Azure Active Directory вы можете создавать журналы и оповещения при возникновении подозрительных или небезопасных действий в окружении. Используйте Центр безопасности Azure для мониторинга действий идентификации и доступа.

3.8. Управление ресурсами Azure только из утвержденных расположений

Идентификатор Azure Идентификаторы CIS Обязательство
3.8 11,7 Customer

Используйте именованные расположения с условным доступом, чтобы разрешить доступ только из конкретных логических групп диапазонов IP-адресов или стран и регионов.

3.9. Использование Azure Active Directory

Идентификатор Azure Идентификаторы CIS Обязательство
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Customer

Используйте Azure Active Directory как центральную систему проверки подлинности и авторизации. Azure AD защищает данные с помощью надежного шифрования для хранимых и транзитных данных. Кроме того, в Azure AD используются salt-записи, хэши и безопасное хранение учетных данных пользователей.

3.10. Регулярная проверка и согласование доступа пользователей

Идентификатор Azure Идентификаторы CIS Обязательство
3.10 16.9, 16.10 Customer

Azure AD предоставляет журналы для облегчения поиска устаревших учетных записей. Кроме того, используйте проверки доступа удостоверений Azure для эффективного управления членством в группах, доступа к корпоративным приложениям и назначения ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

3.11. Отслеживание попыток доступа к отключенным учетным записям

Идентификатор Azure Идентификаторы CIS Обязательство
3.11 16.12 Customer

У вас есть доступ к отчетам о действиях входа в Azure AD, журналу событий риска и аудита. Эти источники позволяют интегрироваться с любым средством мониторинга или SIEM.

Этот процесс можно упростить, создав параметры диагностики для учетных записей пользователей Azure Active Directory и отправив журналы аудита и журналы входа в рабочую область Log Analytics. Вы можете настроить необходимые оповещения в рабочей области Log Analytics.

3.12. Предупреждение при подозрительном входе в учетную запись

Идентификатор Azure Идентификаторы CIS Обязательство
3.12 16.13 Customer

Используйте функции защиты идентификации и обнаружения рисков Azure AD, чтобы настроить автоматическое реагирование для обнаружения подозрительных действий, связанных с удостоверениями пользователей. Вы также можете включить данные в Azure Sentinel для дальнейшего изучения.

3.13. Предоставление корпорации Майкрософт доступа к соответствующим данным клиентов в рамках сценариев поддержки

Идентификатор Azure Идентификаторы CIS Обязательство
3.13 16 Customer

В ситуациях, когда корпорации Майкрософт требуется доступ к данным клиентов для предоставления поддержки, защищенное хранилище для клиентов позволяет проверить и утвердить (или отклонить) запросы на доступ к данным клиентов.

Дальнейшие действия

  • Переходите к следующей статье из серии об управлении безопасностью в Azure: Защита данных.